ola a todos, concordo com voces, sequrança nunca é d mais, no meu caso uso um servidor centos apenas para servir internet, uso duas placas de rede, servidor dns bind, squid, dhcp, httpd, nada mais, todo dia em determinado horario faço bakup remoto dos arquivos de configuração do servidor, este servidor esta no ar ja algum tempo, quando foi invadido usava segurança WEP, filtro ip e mac, mesmo assim foi invadido, sei q a segurança wirelles é bem vuneravel pois o trafego fica a disposição d todos, inclusive quando nao tenho nada q fazer uso o whireshark pra ficar escutando trafego alheios sei o q é, entao se um dia seu servidor for invadio nao esquente a cabeça reconfigure d novo e vamos seguir em frente, trabalho em um predio de 24 andares, de vez em quando levo uma antena direcional d 24db e meu notbok, gente parece brincadeira o q tem d routeadores abertos é incrivel pode se ate escolher qual é melhor para navegar a gente chega ate perder a graça e larga de mao.

a/t
iavn

caro Gustavo, meu conhecimento em linux é minimo, mas como vc passaria por esse firewall sendo q o ssh porta de acesso, escuta apenas o ip do meu notbok via regra de iptable,
inclusive tive tentativas de ataque ssh pela wan, mas o ip do atacante ficou registrado no log secury do linux, foi só uma consulta whois e localizei o servidor do atacante q por sua vez usava servidor windows e com varias portas escancaradas, entrei na maquina dele vasculhei deixei tudo como estava e acessei o site dele e deixei um recado para o webmaster para ele antes de tentar invadir maquinas alheias cuidar melhor da segurança do servidor dele.

"trocando ideias é q evoluimos"


[root@localhost ~]# nmap -sS 192.168.2.1

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-12-30 00:13 BRST
Interesting ports on 192.168.2.1:
Not shown: 1672 closed ports
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
443/tcp open https

a/t
ivan

oi Ivan, a maioria dos ataques hoje não necessitam de acesso via SSH ou qualquer que seja o meio de administração remota que você use no seu servidor.

basta que alguém na rede esteja infectado por algum malware qualquer que explore alguma vulnerabilidade em qualquer desses serviços. Vamos concordar que o DNS Bind não um dos mais seguros e existe vários worms que utilizam a porta 111 TCP para se propagar.

Quando tratamos de segurança não podemos fixar os olhos em apenas uma coisa (ataque humano), e sim expandir os horizontes e pensar além do que esta a nossa volta.

Com o resultado do seu Nmap, eu vi que você esta com o HTTP aberto, você quer uma porta de entrada maior que essa? Não sei se você roda alguma aplicação ou só estar com o Apache inicializado, mas hoje em dia a grande maioria dos ataques tem seu início através de uma aplicação web.

Você falou que já quebraram sua WEP, isso já foi a muito tempo, hoje já conseguem quebrar uma WAP com menos de 5min, por isso o conselho de usar WAP2, MD5 já só quebrado, já conseguiram criar um certificado raíz, através de uma chave MD5... tem noção do que é isso!!!??? o pessoal não perde tempo.

Bom.... eu não me dou ao luxo de deixar uma rede wireless aberta para todos, nem na minha casa, quanto mais na empresa. Para você ter uma noção na minha casa eu alterei o firmware do meu Linksys e coloquei uma distro linux. Configurei o Iptables e tudo nele, só para ter um pouco mais de segurança.

Como você mesmo disse... "Segurança nunca é demais" =D

ah... quer ter uma pequena noção de algumas vulns que tem na porta 111?

da uma olhada no final dessa página:

http://isc.sans.org/port.html?port=111

Grande,

é como Renato falou, o pessoal não obtém acesso privilégiado apenas pelo SSH.


[]s

ok, uso o apache para rodar uma pagina interna, o bind enjaulado, e um linksys com o ddd-wrt para acessar a internet e tomei algumas precauções assim como vc e concordo com vc, inclusive nessa rede uso o ntop para ver o trafego em tempo real, e principalmente as maquinas com windows parece bincadeira teve uma q chegou atingir mais d 60000 conexoes tive q usar o modulo limit do linux para limitar as conexoes dos usuarios, concordo com vc por mais q façamos em termos d segurança sempre tera alguem fazendo d tudo para burlar, nao é atoa q de vez enquando temos noticias q algum servidor importante é invadido.


um abraço valeu a troca d ideia.

a/t
ivan

Grande, se a rede é aberta eu posso acessar qualquer windows correto? e se a conexão do windows for compartilhada ou se o mesmo for um zumbi?

vc tm que pensar na segurança não só do servidor e sim dos seus clientes tb, pq se algum cliente fizer alguma besteira vc é co-autor.

já recibi cartas me dando prazo para corrigir problemas ou seria processado.

principalmente em DNS.

[]s

Até onde vai a segurança ? Enfim esse assunto é uma coisa que realmente séria uma questão de uns 10.000,00 posts. Não podemos negar que ter uma rede insegura e o mesmo que publicar a sua senha de cartão de crédito na rede, enfim não tem como discurtir...segurança e uma obrigação de todo admin de rede. Agora voltando a situação da rede sem fio. Nada e 100% seguro isso todos sabem, mas deixar a rede aberta não e legal...isso eu, renato e gustavo ja falamos...conselhos foram dados...e claro rezamos que sejam seguidos afinal a idéia e ajudar. Realmente pensar desde o começo na sua segurança e o "basico" afinal configurar um servidor do zero da um trabalho de pelo menos 2 dias e claro isso tem custo, o custo em questão não pode ser colocado aqui, mas cada um sabe o quanto o seu conhecimento vale.
Criptografia WPA2 Personal, filtro de MAC e uma autencitação é hoje sem duvida o trio-maravilha...nao estou dizendo que irá resolver mas com certeza irá dificultar a vida de qualquer atacante.
Ter uma rede xp/vista e o mesmo que dizer que a sua rede sempre estara aberta (até certo ponto) a sua intenção aqui e disponibilizar internet para um grupo de clientes (seu prédio né) enfim...da pra fazer muita coisa...desde uma regra de firewall ate políticas de acesso com o squid...claro que isso depende de voce e da sua rede.

Abraço a todos. e feliz 2010

ah... só um detalhe: o novo win7 faz por padrão broadcast na porta 67 UDP, não cheguei a procurar o porque, mas meu primeiro chute foi em relação ao seu novo modelo de compartilhamento.

Imagine agora que você tem uma máquina dessas na rede e um cara qualquer utilizando o mesmo sistema entra na sua rede sem fio com um malware que utiliza essa porta para se propagar...... bom... todos os seus win7s estariam comprometidos =D